Dos iniciativas federales de privacidad COVID-19: Un buen comienzo y un paso en falso

COVID-19, y los esfuerzos de contención que dependen de los datos personales, están poniendo de relieve un problema bastante antiguo: la falta de leyes suficientes en nuestra nación para proteger la privacidad de los datos. Dos proyectos de ley ante el Congreso intentan resolver este problema en cuanto a los datos de COVID-19. Uno es un buen comienzo que necesita mejoras. El otro es un paso en falso al que EFF se opone firmemente.

La Ley de Privacidad de Emergencia de Salud Pública (PHEPA) fue presentado por los Senadores de los Estados Unidos Richard Blumenthal y Mark Warner, y los Representantes de los Estados Unidos Anna Eshoo, Jan Schakowsky y Suzan DelBene. Tiene algunos elementos importantes que los defensores de la privacidad han pedido. Requiere el consentimiento y la minimización de datos, y limita la divulgación de datos al gobierno. Tiene un fuerte derecho de acción privada y no se adelanta a las leyes estatales. Y prohíbe la negación del derecho al voto a las personas que se niegan a participar en los programas de seguimiento. Pero no protege a esas personas de la discriminación en el acceso al empleo, a los alojamientos públicos o a los beneficios del gobierno. Además, tiene exenciones demasiado amplias para el rastreo manual de contactos, la investigación de salud pública, las autoridades de salud pública y las entidades reguladas por la Ley Federal de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

La Ley de Protección de Datos del Consumidor COVID-19 (CCDPA) fue presentado por los senadores estadounidenses Roger Wicker, Jim Thune, Jerry Moran y Marsha Blackburn. Se adelanta a las leyes estatales, no tiene derecho a la acción privada, y exime a un amplio conjunto de vigilancia por parte de los empleadores. No es un comienzo.

Las respuestas a COVID-19 amenazan nuestra privacidad de datos

La forma en que las empresas y los gobiernos están utilizando nuestros datos para responder a la crisis COVID-19 ilustra nuestra falta de leyes de privacidad de datos. Los gobiernos se están asociando con las empresas para crear sitios web en los que proporcionamos nuestra información de salud y de otro tipo para obtener la prueba de detección de COVID-19 a las pruebas y tratamiento. Los Estados están llevando a cabo un rastreo manual de contactos, a menudo contratando a empresas para construir nuevos sistemas de gestión de datos. Las autoridades de salud pública nos están animando a descargar aplicaciones de rastreo por proximidad. Algunas de estas aplicaciones también rastrean nuestra ubicación, a lo que se enfrenta EFF.

Hay muchas formas de usar mal nuestra información relacionada al COVID. Algunos restaurantes están recogiendo información de contacto de los clientes para notificarles más tarde de cualquier riesgo de infección; de forma inquietante pero no sorprendente, un empleado de un restaurante utilizó la información de un cliente para enviarles múltiples mensajes de acoso. Las compañías podrían derivar nuestros datos relacionados al COVID a la publicidad. Las agencias de salud pública podrían compartir nuestros datos COVID con la policía u otras agencias. Todos estos datos podrían ser robados por ladrones de identidad, acosadores y naciones extranjeras.

Necesitamos una ley de privacidad completa...

Las leyes existentes en los Estados Unidos no nos protegen suficientemente del mal uso de los datos relacionados con COVID. Por ejemplo, Las protecciones de la HIPAA sobre los datos de salud se aplican sólo a los proveedores de servicios de salud estrechamente definidos y a sus socios comerciales. Las leyes estatales de privacidad de datos más fuertes sólo se aplican a ciertos tipos de datos (como la ley de privacidad biométrica de), los procesadores de datos (como la ley de registro de corredores de datos de Vermont), o las protecciones de datos (como los derechos de para acceder, borrar y optar por la venta de datos).

Por lo tanto, necesitamos una ley federal de privacidad de datos del consumidor fuerte y completa. EFF tiene tres prioridades principales para una ley federal de privacidad: ninguna prioridad federal sobre las leyes estatales de privacidad de datos; una rigurosa implementación otorgando a los consumidores el derecho de acción privada contra las compañías que violan lo establecido en la ley de privacidad; y la prohibición de la discriminación contra los consumidores que ejercen sus derechos de privacidad. Esa legislación también debe exigir el consentimiento de los interesados antes del procesamiento de los datos, y reducir al mínimo el procesamiento de los datos a lo necesario para que una empresa pueda dar al consumidor lo que éste ha pedido.

Por lo tanto, hay muchas cosas que pueden gustar de la Ley de Derechos de Privacidad del Consumidor en Línea presentada el año pasado por los senadores estadounidenses Maria Cantwell, Brian Schatz, Amy Klobuchar y Edward Markey. Mientras que ese proyecto de ley necesita enmiendas fortalecedoras, una ley de este tipo haría mucho para proteger nuestros datos relacionados con COVID.

...o al menos una ley de privacidad COVID-19.

Si nuestra nación carece actualmente de la voluntad política para promulgar una ley integral de privacidad de datos de los consumidores, entonces por lo menos necesitamos una ley específica para COVID. Por las razones anteriores, sería necesario el consentimiento de los consumidores, minimizar los datos, un derecho privado de acción, sin prelación, y protecciones para evitar la discriminación contra las personas que no dan su consentimiento.

La no discriminación tiene una urgencia particular aquí. No sólo existe el riesgo de que un gobierno o una entidad comercial procese los datos de una persona, o la obligue a utilizar una aplicación de rastreo, sin su consentimiento. También existe el riesgo de que se denieguen los beneficios y el acceso a las personas que se nieguen a compartir sus datos o a utilizar una aplicación. Por ejemplo, si una persona se niega a descargar una aplicación de rastreo, un empleador podría denegar el acceso al lugar de trabajo, un restaurante podría denegar el servicio de mesa, o un organismo gubernamental podría denegar un beneficio. Pero cualquier uso de tales aplicaciones debe ser verdaderamente voluntario.

También es importante restringir el flujo de datos personales al gobierno. El brote ha provocado demandas para que nuevas instituciones y tecnologías recojan nuevos tipos de datos sobre nosotros. La historia muestra que los gobiernos generalmente no devuelven los poderes de emergencia.

PHEPA es un buen comienzo...

PHEPA se aplica en general a los datos que se pueden vincular razonablemente a una persona o dispositivo y que estén referidos a COVID-19. Incluye expresamente datos de salud (como los resultados de pruebas médicas) y datos de seguimiento de brotes (como la ubicación, la proximidad o cualquier dato recogido por un dispositivo personal). El proyecto de ley se extiende a las entidades gubernamentales y privadas que procesan electrónicamente los datos cubiertos, o que desarrollan sitios web o aplicaciones móviles para los fines de COVID-19.

El proyecto de ley proporciona importantes protecciones de privacidad COVID-19. Una entidad cubierta:

No procesará los datos cubiertos sin el consentimiento expreso del sujeto (con ciertas excepciones).
Practicará la minimización de los datos, procesando los datos sólo cuando sea "necesario, proporcionado y limitado para un propósito de salud pública de buena fe".
No revelará los datos cubiertos al gobierno, excepto a una autoridad de salud pública, y sólo con un propósito de salud pública de buena fe.
No utilizará los datos cubiertos para los anuncios comerciales.
Permitirá que la gente corrija los datos inexactos sobre ellos.
Publicará una política de privacidad, y (para entidades más grandes) informes trimestrales.
Tomará medidas razonables para asegurar los datos cubiertos.

El proyecto de ley prohíbe la denegación del derecho a votar por motivos de datos cubiertos de una persona, su condición médica o su no participación en un programa que recopila datos cubiertos. Esto daría cierta protección a las personas que se niegan a descargar una aplicación de rastreo. Proporciona un fuerte derecho privado de acción, además de la aplicación por parte de la Comisión Federal de Comercio (FTC) y los fiscales del Estado. Establece explícitamente que las leyes estatales no se adelantan.

En resumen, hay muchas cosas que gustan aquí, incluyendo el consentimiento de inclusión voluntaria, la minimización de datos, un derecho privado de acción, no hay prelación, no hay discriminación en el derecho de voto, y más. Apreciamos el liderazgo de los Sres. Blumenthal y Warner, y de los representantes. Schakowsky y DelBene.

... Y tiene espacio para mejorar

Respetuosamente sugerimos las siguientes enmiendas de fortalecimiento de la PHEPA.

En primer lugar, debería prohibir la discriminación contra las personas que se niegan a utilizar una aplicación de seguimiento de COVID-19, incluso negándoles empleo, educación, alojamiento público o beneficios gubernamentales. Tal discriminación, y la presión resultante para descargar una aplicación de rastreo, es una amenaza urgente a la privacidad. El proyecto de ley tiene un buen comienzo: prohibiría la negación del derecho al voto a alguien que no participe en un programa de seguimiento de COVID-19. Pero se necesitan más protecciones.

En segundo lugar, el proyecto de ley tiene amplias exenciones que deberían eliminarse o limitarse drásticamente:

Exime a los programas de rastreo de contactos manuales. Pero estos amontonarán grandes cantidades de datos personales. Y estos datos estarán en manos de las corporaciones privadas que contratan a los estados para llevar a cabo el rastreo de contactos.
Exime a la investigación de salud pública sobre COVID-19. Pero la gente debería poder usar los recursos de COVID, como aplicaciones de rastreo o sitios web de detección, sin tener que convertirse en sujetos de investigación.
Exime a las autoridades de salud pública. Sin embargo, estos funcionarios gubernamentales deberían tener que seguir las normas del proyecto de ley en lo que respecta, por ejemplo, al consentimiento del sujeto, la reducción al mínimo de los datos, la confidencialidad y la no divulgación a otras dependencias gubernamentales.
Exime a las entidades cubiertas por la HIPAA, incluidos los socios comerciales de los proveedores de servicios de salud. Pero tales entidades deben estar obligadas a seguir las nuevas e importantes reglas de privacidad del proyecto de ley, a menos que esas reglas entren en conflicto con la HIPAA.

En tercer lugar, el proyecto de ley dice que si una persona revoca su consentimiento para el procesamiento de datos, la entidad abarcada deberá detener el procesamiento "tan pronto como sea posible, pero en ningún caso después de 15 días", y destruirá o desidentificará los datos ya recogidos. Pero si alguien revoca su consentimiento, eso debe respetarse inmediatamente. La entidad que desee procesar los datos abarcados debe estar dispuesta a dejar de procesarlos tan pronto como alguien revoque su consentimiento. Además, los datos cubiertos deben ser destruidos, sin opción a conservarlos en forma desidentificada. Existe un riesgo inherente de que los datos desidentificados puedan volver a identificarse.

En cuarto lugar, el proyecto de ley establece que una entidad cubierta deberá destruir o desidentificar los datos cubiertos en un plazo de 60 días a partir del final del brote, según lo definido por el gobierno federal y estatal. Pero la gestión del brote de COVID-19 podría durar años, mientras que muchos de los datos relacionados con COVID estarán obsoletos dentro de semanas. Por ejemplo, el período de incubación de COVID-19 es de 14 días, así que no hay necesidad de retener más tiempo los datos recogidos por las aplicaciones de seguimiento de proximidad. Además, los datos caducados deben ser destruidos y no simplemente des-identificados, como se acaba de explicar. Instamos a los autores a tomar estas medidas críticas para fortalecer su proyecto de ley.

La CCDPA es un paso en falso

CCDPA es un obstáculo para EFF.

En primer lugar, se adelantaría a las leyes estatales "relacionadas con" el procesamiento de datos cubiertos (ubicación, proximidad, identificadores persistentes e información sobre la salud) para un propósito cubierto (seguimiento de COVID-19, medición del distanciamiento social y rastreo de contactos). Esto recortaría los derechos legales existentes de los californianos para acceder, borrar o excluirse de la venta de los datos recogidos para los fines de COVID, y de Los habitantes de Illinois estarán libres de vigilancia biométrica no autorizada para fines de COVID. Cuando se trata de datos de COVID-19, la CCDPA también reduciría las leyes estatales vigentes que se ocupan de la privacidad médica, la seguridad de la información, la notificación de la violación de datos y las prácticas comerciales injustas. Peor aún, la CCDPA acabaría con el poder de las legislaturas estatales, que actúan como "laboratorios de la democracia", para innovar nuevas formas de proteger la privacidad relacionada con COVID. Y la prevención en virtud de la CCDPA sería permanente, incluso después de que el brote termine.

En segundo lugar, la CCDPA carece de derecho privado de acción, y permite la aplicación de la ley sólo por la FTC y los fiscales del Estado. Pero la tarea de hacer cumplir la ley es demasiado grande sólo para estos organismos, que tienen presupuestos finitos y muchas obligaciones que compiten entre sí. Además, muchos organismos sufren captura reglamentaria, lo que significa que las empresas reguladas tienen una influencia indebida en las decisiones de los organismos de aplicación.

En tercer lugar, la CCDPA exime los datos relacionados con COVID que los empleadores utilizan para filtrar la entrada a los lugares de trabajo. Se trata de una autorización para que las empresas despidan a sus empleados a menos que se sometan a la vigilancia de sus movimientos, asociaciones y salud, siempre que las empresas digan que están tratando de prevenir un brote en el lugar de trabajo.

Conclusión

Los gobiernos y las empresas están recogiendo vastos trofeos de datos relacionados con COVID, incluyendo nuestra salud, lugares, asociaciones con otros, y mucho más. Esto demuestra además que hace tiempo que se necesita una ley integral de privacidad de datos. Como mínimo, necesitamos una ley de privacidad de COVID-19. La PHEPA es un buen comienzo. Esperamos que el Congreso se base en ella.

Corrección: Una versión anterior de este post omitió inadvertidamente a la representante Anna Eshoo de la lista de patrocinadores de la Ley

Related Issues

COVID-19 and Digital Rights

Privacy

Join EFF Lists

Related Updates

Deeplinks Blog by Bennett Cyphers | November 10, 2021

Data Broker Veraset Gave Bulk Device-Level GPS Data to DC Government

In the first weeks of the COVID-19 pandemic, a location data broker called Veraset offered officials in Washington, DC full access to its proprietary database of “highly sensitive” device-level GPS data, collected from cell phones, for the entire DC metro area.The officials accepted the offer, according to public...

Deeplinks Blog by Alexis Hancock, Adam Schwartz, Jon Callas | August 31, 2021

Errores del pasaporte de vacunación que no debemos repetir

Los mandatos de vacunación son cada vez más urgentes por parte de las autoridades de salud pública y de los distintos gobiernos. A medida que se despliegan, debemos proteger a los usuarios de los pasaportes de vacunas y a aquellos que no quieren o no pueden utilizar un medio digitalmente...

Deeplinks Blog by Alexis Hancock, Adam Schwartz, Jon Callas | June 25, 2021

Decoding California's New Digital Vaccine Records and Potential Dangers

This post was updated on 6/29/21 to more accurately describe how New York is running its voluntary vaccine passport programThe State of California recently released what it calls a “Digital COVID-19 Vaccine Record.” It is part of that state’s recent easing of...

Deeplinks Blog by Alexis Hancock, Adam Schwartz, Hayley Tsukayama | April 22, 2021

No Digital Vaccine Bouncers

The U.S. is distributing more vaccines and the population is gradually becoming vaccinated. Returning to regular means of activity and movement has become the main focus for many Americans who want to travel or see family. An increasingly common proposal to get there is digital proof-of-vaccination,...

Deeplinks Blog by Jason Kelley | February 5, 2021

Online-Only Vaccine Distribution Will Leave Too Many Behind

As the rollout of COVID-19 vaccines has begun across the U.S., there have been numerous reports of people having trouble getting it—not just because of its limited availability, but also because some counties and states have chosen to require computer and Internet access to sign up. This...

Deeplinks Blog by Rory Mir | February 1, 2021

Keeping Up With "At Home with EFF": From Student Privacy to Online Censorship

We're excited to have yet another "At Home with the EFF" event coming up this Wednesday, February 3rd, with panels making sense of all the online censorship issues emerging this year. From the takedown of Parler to Trump getting banned, we'll offer an insider look on how censorship decisions...

Deeplinks Blog by Adam Schwartz | January 5, 2021

COVID-19 and Surveillance Tech: Year in Review 2020

Location tracking apps. Spyware to enforce quarantine. Immunity passports. Throughout 2020, governments around the world deployed invasive surveillance technologies to contain the COVID-19 outbreak.But heavy-handed tactics like these undercut public trust in government, precisely when trust is needed most. They also invade our privacy and...

Deeplinks Blog by Gennie Gebhart | December 24, 2020

How COVID Changed Content Moderation: Year in Review 2020

In a year that saw every facet of online life reshaped the coronavirus pandemic, online content moderation and platform censorship were no exception. After a successful Who Has Your Back? campaign in 2019 to encourage large platforms to adopt best practices and endorse the Santa Clara Principles, 2020...

Deeplinks Blog by Alexis Hancock, Hayley Tsukayama | December 16, 2020

Pasaportes de vacunas: Un sello de inequidad

Una vacuna COVID ha sido aprobada y las vacunaciones han comenzado. Con ellas vienen las propuestas de maneras de probar que has sido vacunado, basadas en la presunción de que la vacunación hace a una persona inmune e incapaz de propagar el virus. Esto último no está claro....

Deeplinks Blog by Gennie Gebhart, Jason Kelley | December 10, 2020

California Has a New COVID Exposure Notification App

Today California joined dozens of other states and countries in launching its COVID-19 exposure notification app, CA Notify, built on Google and Apple’s Exposure Notification API. Google and Apple’s API is already used in 20 other U.S. states, as well as countries including Germany, the...

Related Issues

COVID-19 and Digital Rights

Privacy

Search form

Search form

Related Issues

Related Issues

Search form

Search form

Dos iniciativas federales de privacidad COVID-19: Un buen comienzo y un paso en falso

Dos iniciativas federales de privacidad COVID-19: Un buen comienzo y un paso en falso

Related Issues

Join EFF Lists

Discover more.

Related Updates

Discover more.

Related Issues

Follow EFF:

Contact

About

Issues

Updates

Press

Donate